分享

厉害了,这次六个国家的数百名黑客要来上海滩开派对!

 新华书店好书榜 2016-11-25
SyScan360将于11月24日在上海拉开大幕,这被称为中国安全圈年内最后一次黑客大派对。


      11月24日, SyScan360(国际前瞻信息安全会议)将在上海拉开大幕,这被称为中国安全圈年内最后一次黑客大派对。这也是SysCan360自2012年以来首次登陆大上海。

      前不久美国发生智能设备大反攻,大半个美国互联网瘫痪事件,而SyScan360早早就宣布今年的主题聚焦人工智能安全和用人工智能解决安全,不得不说,SyScan360确实是亚洲最具有前瞻性与创新性的安全大会。


      今年的Syscan360仍然得到了圈内顶尖黑客支持,往年以中美两国黑客打擂台不同的是,今年的议题来至少包括中国、美国、西班牙、巴西、德国、英国等六个国家。

      今天,我们就来剧透一下今年即将云集上海滩的黑客大咖和议题 。

      ▌价值10万美金的漏洞长什么样?

      推荐指数:★★★★★
      推荐理由:一句话,破解微软真**难!10万美金的漏洞你见过吗?

      去年SyScan360上大破克莱斯勒的米勒和瓦拉塞克,两位大仙儿一边喝啤酒一边演讲,上演SyScan360“青梅煮酒论英雄”的佳话,今年,大会再次迎来一位“大仙”黑客,来自德国的Moritz Jodeit,虽然他刚刚出道半年,但一个漏洞就获得了微软公司10万美金的奖励,震惊黑客圈!他将来和中国的黑客一起分享这个“微软最贵”的漏洞,这是他首次来华演讲。


      MoritzJodeit是Blue Frost Security GmbH 的研究总监。他专注于应用程序安全,而他的主要兴趣则在漏洞挖掘研究,逆向工程和软件开发。Moritz Jodeit 在许多国际安全会议诸如 Black Hat Europe, HITB GSEC, 44CON,等发表他的研究成果。

      ▌黑客可能利用社交媒体抢银行!

      推荐指数:★★★★★
      推荐理由:金融安全对于上海这个金融中心很重要。

      在大数据时代,最重视安全的莫过于银行系统,这毕竟关系到千千万万老百姓的钱袋子,更关系到金融机构的生死存亡。SyScan360首次在上海这个重要的国际金融中心举办,银行系统安全肯定是重点。

      Jayson E.Street, 《剖析黑客》系列读物的作者,2006年《时代周刊》评选为年度人物。DEFCON 组织的全球协调人。他曾经在 DEFCON, DerbyCon, UCON等场合进行各种信息安全学科演讲,这次带来了关于“抢银行”这个惊悚的演讲议题。


      与众不同的是,Jayson从黑客角度看待“抢银行”这件事情,演示攻击者是如何看待你的网站和员工,黑客会通过搜集来自企业自身“关于” 页面中的信息,以及利用员工的社交媒体网站获取有用信息。当然Jayson E.Street是个好人,大部分的讨论提供反制措施,去帮助防范和侦测这些攻击。

      这次演讲为什么牛?演讲者Jayson E.Street在美国银行从事防御工作 15 年的经验,其中6年多时间,他在扮演银行安全攻击者的角色。

      ▌世界黑客大赛PwnFest冠军团队也来参加!

      推荐指数:★★★★★
      推荐理由:在韩国PwnFest的比赛更强调破解速度,SyScan360的演讲更注重于对比赛方法、理念的介绍,对于普通网络安全技术爱好者来说,更具有学习的价值。

      在刚刚结束的韩国举办的PwnFest世界黑客大赛上,360安全联队连下四城,以10秒破Edge、3秒破Flash、全球首破VMware和Pixel的成绩夺得大赛的冠军和“破解大师”的称号。在2016 SyScan360上,这支队伍也将亮相。联队中的360Vulcan(伏尔甘)安全团队核心成员古河和 MJ再次探讨关于微软浏览器的破解过程;360 手机卫士阿尔法团队安全研究员将演示影响数亿人手机浏览器Chrome V8的漏洞。


      古河和 MJ演讲的议题正式从韩国原汁原味带回。微软浏览器虽然号称增加了安全性,其实在顶尖黑客眼中仍旧有可突破的漏洞,360Vulcan(伏尔甘)将通过这些漏洞从 Edge 沙箱中成功逃逸。此外,360Vulcan(伏尔甘)还在会上介绍了他们开发的一个用于发现沙箱 RPC 漏洞的 Fuzzing 工具。

      360冠军联队的另一支团队手机卫士阿尔法团队在韩国PwnFest大赛上成功破解被称为“谷歌亲儿子”的Pixel手机。对安全性极为重视的谷歌,在Pixel的安全保护上自然也做得滴水不漏,再加上谷歌拥有的上千台服务器以深度挖掘技术对其产品进行漏洞测试。

      在此次SyScan360上,阿尔法团队负责人龚广和研究员邓袁则将目光瞄准了Chrome V8,他们在会上披露,他们最近在 Chrome V8 引擎中发现一个可能是笔误造成的漏洞。这个漏洞关系到全球数亿人的手机浏览器,而微信、58同城、搜狐视频、新浪新闻等可能受影响。

      ▌国内首个车联网安全中心将在这里成立!

      推荐指数:★★★★★
      推荐理由:种种迹象表明,360将有汽车信息安全领域的大动作,国内首个车联网信息安全中心将在这里成立。

      这次SyScan360的汽车议题主要是由360汽车信息安全实验室和Hackpwn来承担。刘健皓,奇虎 360 汽车信息安全实验室负责人,主要负责物联网、车联网等方向的安全研究工作。全球首例破解特斯拉汽车贡献者,特斯拉自动驾驶安全主要研究者,在国际安全会议DEFCON, ISC,SyScan360 发表过重要研究成果。

      这次他和伙伴严敏睿将会带来今年在美国DEFCON的演讲议题:对汽车总线的攻击和破解。刘健皓将演示对于汽车总线的注入攻击,突破汽车总线安全设计。未来可以通过该工具做为中间人,在不增加汽车执行器的情况下实现对汽车的自动控制功能。

      这次国内有名的Hackpwn今年首次成为SyScan360的一个单元,SyScan360专门设置HackPwn汽车破解大赛专场,至少四支队伍展示如何让汽车仪表盘变成“疯子”。

      除此之外,360在汽车信息安全领域可能将有“小目标”,360与北京航空航天大学、浙江大学、长安汽车联合建立了多个汽车安全研究院和实验室,在去年的SyScan360上,他们请来了远程破解操控克莱斯勒JEEP的黑客演讲。

      ▌英国黑客号称能攻击数亿台电视机!

      推荐指数:★★★★
      推荐理由:这个黑客是英国人,祖母是天津人,是否会攻击中国电视,他非常暧昧的回复:保密。

      来自英国的Adam Laurie从1997年开始就是DEFCON的高级成员,现在是 DEFCON伦敦分会 DC4420 的 POC,是电子通讯领域的安全顾问,研究领域涉及磁条安全、红外安全、射频安全等等大批领域。他的专长是对于安全的嵌入式系统的逆向工程。

      他新发现的漏洞存在在 MHEG电视标准里,目前采用 MHEG 标准的国家和地区有爱尔兰、新西兰、澳大利亚和中国香港。漏洞影响巨大,不但最新的智能电视受到影响,过去的电视机也会受到影响。事实上,2005年,他就通过电视入侵饭店系统,获得房客的很多个人信息。


      Adam Laurie称,现在中国大陆正在试用一种叫做HBBTV 的类似系统,这种系统存在着相似的漏洞。随着交互式和互联网、智能电视的日益普及,最终全球所有电视很快都会遇到相似的问题。目前他认为会有数千万或甚至数亿台电视受到影响。但如果问题得不到解决,最终会有数十亿台电视受到影响。

      ▌围殴苹果,安全领域没有固若金汤!

      推荐指数:★★★★
      推荐理由:iPhone7(plus) 中新加入的硬件安全特性,果粉最爱!

      苹果系统一直以固若金汤闻名,事实上,在安全领域,说这句话很容易被打脸,这次SyScan360有两个关于苹果的议题,中美黑客分别在不同领域对苹果系统展开攻击。

      美国黑客Patrick Wardle以外星人、间谍和会说话的书呆子等形象为人熟知,曾经在 NASA(美国国家宇航局)和 NSA 工作,在许多安全会议演讲,最近 Patrick 专注于自动化漏洞挖掘,OS X 新出现的威胁和移动恶意软件。


      Patrick在演讲中本次演讲首先将会深入Recovery OS 的技术细节,接着介绍其中的安全威胁。他说,苹果并没有完全验证操作系统升级和安装过程的完整性,这使得本地的攻击者或恶意程序可以直接注入代码到操作系统升级和安装器程序中,使得恶意代码可以直接控制并传播到被升级的操作系统中。

      另外一支打击“苹果”的是来自中国的是盘古团队,团队因连续多次发布 iOS 完美越狱工具而闻名,是国内首个自主实现苹果 iOS 完美越狱的团队,也是全球范围内第一个实现针对 iOS 8 和iOS 9 系统完美越狱的团队。

      盘古的议题会首先讨论盘古 iOS 9.3.3 越狱中使用的内核漏洞细节并分析漏洞成因,展示如何利用一个漏洞首先完成信息泄露再获取内核代码执行权限。还会介绍 iOS 10 系统中的一些安全机制改进;最后还会介绍 iPhone7(plus) 中新加入的硬件安全特性。


      ▌“黑客大派对”其他看点

      推荐指数:★★★
      推荐理由:黑客征战海外夺冠的“教头”!

      美国乔治亚大学教授,CyberImmunity Lab 负责人李康带来《人工智能在漏洞挖掘等安全领域中的应用现状及前景展望》。


      推荐指数:★★★
      推荐理由:现场数百张胸卡将连为物联网,破解者需要协同合作,“呼朋引伴”才能完成,破解后也会有“彩蛋”奖励!

      每年,SyScan360的胸卡破解也是大会最受关注的亮点,今年的胸卡设计更加酷炫、破解难度再度提高,对参与者知识能力考查更加灵活和全面。

推荐指数:★★★★★+

      推荐理由:SyScan360大会史上首位美女讲师,竟然发现了APT攻击的惊天秘密!!

      360追日团队威胁情报高级研究员、病毒分析师赵雨婷将作为大会唯一女讲师,分享360如何将机器学习用于威胁情报的挖掘。

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多